米国製のスマート風力発電所のWeb管理コンソールにXSS脆弱性、管理権限を奪取可能

taraiok 曰く、　ISC-CERTは、米XZERES Wind製のスマート風力発電所「XZERES 442SR」のWebベース管理コントロールパネルに重大な脆弱性があることを発表した（SOFTPEDIA、Slashdot）。

　このWebコントロールパネルにはクロスサイトスクリプティング（XSS）脆弱性があり、攻撃によって管理権の奪取が可能になるという。熟練度の低いハッカーでも攻撃が可能で、電気の供給を止めたりタービンの効率を低下させることができるという。

　XZERES Windは対策として、手動で各デバイスにインストールするバッチファイルの提供を行っているという。こうしたIoT機器のセキュリティバグの例としては、ハネウェル製のガス検知器でも見つかっている。

　なお、このXZERES 442SRは日本国内でも運用されている模様（スマートジャパン）。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 電力

　関連ストーリー：
ロシアのハッカーら、リモートから米イリノイの水道施設を破壊 2011年11月25日
中国製 SCADA システム製品に脆弱性、米国が警告 2011年06月22日
TwitterにXSS脆弱性、大騒ぎに 2010年09月22日
XSSは本当に危ないか？日本のセキュリティ意識は過剰？ 2009年03月25日